Mesures de sécurité pour « Mot de passe » lien


3

J'ai remarqué que Facebook envoie un code de six chiffres « Mot de passe », ce qui est très court pour un code de validation, donc je suppose qu'ils font ce qui suit:

  • définir une variable de session qui est liée au code donc pas d'autres clients peuvent utiliser le même code
  • peut-être aussi, définir le nombre maximum de tentatives de saisie du code correct

J'ai deux questions:

  1. Est-ce que ce qui précède est le chemin le plus branché des liens "Mot de passe oublié?
  2. Est-ce une alternative de ne pas définir une variable de session ni de restreindre les tentatives, mais simplement d'augmenter la longueur du code pour que la force brute devienne impossible? Combien de temps ce code devrait-il être? Ou est-ce considéré comme très peu sûr?

EDIT: Le code Facebook est éventuellement envoyé à votre téléphone mobile à coups de poing manuellement sur votre ordinateur, qui doit être la raison pour laquelle ils ont choisi de le garder court.

3

Ils limitent généralement la durée de validité du code. C'est peut-être la caractéristique de sécurité clé.

Il est en fait relativement sûr. Un attaquant ne sera pas capable de force brute, car il va expirer ou exagérer les tentatives, de sorte qu'ils auraient besoin de compromettre le compte de messagerie.


2

"donc je suppose qu'ils font ce qui suit" - Pourquoi feriez-vous ces hypothèses? Les failles de sécurité proviennent de personnes qui font des hypothèses qui se révèlent être confondu:

Il devrait y avoir beaucoup de place dans ce tampon

10^6 est trop pour quelqu'un de deviner

Le système d'exploitation me fournirez avec une bonne source de hasard

etc, etc, etc

Je ne sais pas je suis d'accord avec l'évaluation de Rory de "relativement sûre". Personne ne se soucie assez de mon compte FB pour mettre en place un test de distribution distribué, mais vous pouvez facilement faire une liste de 100 comptes Facebook qui sont extrêmement précieux: Whitehouse, McDonalds, Jay-Z.

La question que je voudrais poser est pourquoi six chiffres? Est-ce que cela coûtait prohibitif d'utiliser 8, 10 ou 20? Les utilisateurs n'ont pas besoin de les taper, ils cliquent sur un lien, non? Est-il juste que 6 chiffres était plus esthétique que 20 chiffres de A-Za-z0-9? Personnellement j'aime le look de 62^20 beaucoup plus que 10^6.

Indépendamment de la longueur, les broches doivent également expirer. Si je dois accéder à mon compte aujourd'hui, je ne laisserai pas ce lien dans mon courriel pendant une semaine. 60 minutes devraient être assez longues. Vous ne pouvez pas l'utiliser d'ici là, cliquez à nouveau sur le lien "Mot de passe oublié".

  0

Le code Facebook est éventuellement envoyé à votre téléphone portable pour être poinçonné manuellement sur votre ordinateur, ce qui doit être la raison pour laquelle ils ont choisi de rester court. 13 août. 132013-08-13 19:34:34

  0

+1 Bon appel. Demander à un utilisateur de taper 20 chiffres serait sujet aux erreurs. 8 caractères d'A-Z, 0-9 présente encore 2821109 fois plus de variations qu'un nombre à 6 chiffres.Je ne pense pas que 4RE3H27L soit beaucoup plus difficile que 499123, mais je ne serais pas surpris si FB a fait quelques tests A/B et a une idée de l'augmentation du taux d'erreur. 13 août. 132013-08-13 19:49:03